O WireGuard é o protocolo VPN mais limpo para usar num iPhone ou iPad — rápido, leve na bateria e com um único botão para ativar após a configuração. Este guia percorre o WireGuard no iOS de ponta a ponta em 2026: instalação da app, importação da configuração do servidor, ativação do On-Demand (sempre ligado) e resolução de problemas de handshake e MTU. Funciona com qualquer servidor WireGuard — PiVPN, NetBird ou uma configuração manual. (Para Android, veja o nosso guia WireGuard no Android.)
O que precisa antes de começar
- Um iPhone ou iPad com iOS/iPadOS 15 ou superior (a app WireGuard suporta versões mais antigas também, mas o On-Demand é mais fiável nas versões recentes).
- Um servidor WireGuard em funcionamento com um endpoint público acessível — um Raspberry Pi em casa com uma porta encaminhada, ou um pequeno VPS. O WireGuard no iOS é apenas o cliente; não faz nada por si só.
- A configuração do cliente que o servidor gera para este dispositivo: um código QR no ecrã ou um ficheiro
.confque pode mover para o iPhone. Cada dispositivo deve ter a sua própria configuração (o seu próprio par de chaves) — nunca partilhe uma configuração entre telefones, pois chaves duplicadas quebram o handshake.
Passo 1 — Instalar a app
Instale a app oficial WireGuard da App Store, publicada pela WireGuard Development Team. Evite clones de terceiros — um cliente VPN vê todo o seu tráfego, por isso o editor é importante.
Passo 2 — Importar a configuração do servidor
Toque em + e escolha:
- Criar a partir de código QR — escaneie o QR que o seu servidor gera (
pivpn -qr, NetBird ouqrencode). É o método mais rápido e menos propenso a erros. - Criar a partir de ficheiro ou arquivo — importe um
.confa partir da app Ficheiros ou AirDrop. - Criar do zero — cole as chaves e o endpoint
[Peer]manualmente.
O WireGuard é o cliente; precisa de um servidor. Um VPS Contabo a €4.99/mês executa confortavelmente um servidor WireGuard pessoal.
Passo 3 — Conectar e verificar
Ative o túnel e permita a configuração VPN quando o iOS solicitar. Verifique as atualizações do último handshake (não "nunca") e se o seu IP público muda. Para mais informações sobre o protocolo, veja WireGuard vs OpenVPN.
Passo 4 — On-Demand (sempre ligado)
Edite o túnel → ative On-Demand → ative em Wi-Fi e/ou dados móveis. O iOS mantém o túnel ativo e reconecta automaticamente — o equivalente prático no iOS a uma VPN sempre ligada. Um verdadeiro kill switch a nível de sistema no iOS requer um perfil de configuração (MDM) para dispositivos geridos; para a maioria dos utilizadores, o On-Demand é suficiente.
IPs Permitidos: túnel completo vs túnel dividido
O campo mais importante num túnel WireGuard no iOS é AllowedIPs na seção [Peer] — decide qual tráfego passa pela VPN:
0.0.0.0/0, ::/0— túnel completo. Todo o pacote (IPv4 e IPv6) passa pelo seu servidor. É o que deseja para privacidade em Wi-Fi público ou para levar o seu IP de casa para o estrangeiro.- Um intervalo específico, por exemplo,
10.0.0.0/24— túnel dividido. Apenas o tráfego para essa sub-rede usa a VPN; tudo o resto sai pela sua conexão normal. Ideal quando só quer aceder a dispositivos na sua LAN de casa ou escritório sem abrandar tudo o resto.
Se escolheu um túnel completo mas ainda quer comunicar com impressoras e dispositivos locais, ative "Excluir IPs privados" ao editar o túnel — o iOS reescreve AllowedIPs para enviar a internet pela VPN enquanto deixa 192.168.x.x/10.x.x.x local. Esquecer isto é a razão usual para o AirPlay ou um NAS local "desaparecer" quando a VPN está ligada.
Executar múltiplos servidores e alternar entre eles
A app WireGuard suporta tantos túneis quanto desejar — um para casa, um para um VPS no estrangeiro, um para uma rede de trabalho. Apenas um está ativo de cada vez. Dê a cada um um nome claro e pode alternar em dois toques a partir da app ou do menu VPN nas Definições do iOS. Se usar On-Demand em mais de um túnel, ative-o apenas no que deseja como padrão, ou o iOS pode alternar entre eles de forma imprevisível.
Resolução de problemas
- Sem handshake ("nunca"): IP/porta de endpoint errados, porta UDP do servidor não aberta, ou chave pública não correspondente. Verifique se o servidor é acessível.
- Conecta mas sem internet: reduza o MTU (por exemplo,
1280) na configuração da interface — resolve muitos problemas de MTU em redes móveis. - Fugas de DNS: defina o DNS do túnel para o seu servidor ou um resolvedor confiável e teste.
- On-Demand mantém a VPN desligada: verifique se não está desativado para o seu Wi-Fi atual na lista SSID, e que "Desconectar sob demanda" não está ativado — esse interruptor diz ao iOS para desligar o túnel, o oposto de sempre ligado.
- Túnel não importa do QR: certifique-se de que o brilho do ecrã está alto e que o código inteiro está no enquadramento; um QR parcialmente cortado falha silenciosamente. Recorra à importação do
.confa partir da app Ficheiros. - Funciona em Wi-Fi mas não em dados móveis (ou vice-versa): isto é quase sempre o MTU ou uma incompatibilidade de IPv6 — defina
1280e assegure-se de que o servidor fornece um resolvedor DNS funcional.
Para modelos reutilizáveis de cliente/servidor, veja modelos de configuração WireGuard.
Conclusão
O WireGuard no iOS é uma configuração de cinco minutos: instale a app oficial, importe a configuração do seu servidor por QR, permita a configuração VPN e ative o On-Demand para sempre ligado. Mantenha o truque do MTU à mão para redes móveis instáveis. Só precisa de um servidor WireGuard para apontar — um VPS Contabo ou um Raspberry Pi em casa faz o trabalho.
Guia editorial baseado no comportamento documentado do cliente oficial WireGuard iOS e VPN On-Demand do iOS. A segurança depende da configuração do seu servidor e higiene das chaves. Links comerciais têm o atributo rel="sponsored nofollow"; pode aplicar-se uma comissão de afiliado sem custo adicional para si.
★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
